エントリー

私はpifファイルを手に入れました。 これは、Windows自体で説明されているように、MS-DOSへのショートカットです。 彼は、彼が横たわったフォルダの名前と同じ名前を持っていました。 フォルダーは友人からYandex.Diskを介して取得されているため（私のウイルス対策ソフトウェアと同様に、システムにインストールされていません）、私は何も疑わず、このファイルシステムオブジェクトが適切にどのように表示されるべきかを見る時間がないため、誤って起動しました。 ローンチしたことに気付いたとき、手遅れでした。 このフォルダーをzipアーカイブにパックし、VirusTotalでスキャンするために送信しました。 これが結果です。

ウイルスによって引き起こされる症状

• 1. System32、Windows、およびユーザーテンポフォルダー内のフォルダーの作成（％tmp％）;
• 2.これらのファイルを実行します。
• 3.ファイルの使用可能なすべてのディスクのルートで作成。
• 4.レジストリの編集の禁止。
• 5.非表示のファイルとフォルダーの表示の禁止。
• 6.親フォルダーの名前で実行可能ファイルおよびrarアーカイブのネットワーク上で見つけたすべてのコンピューターのすべてのネットワークフォルダーでの作成。
• 7.同じネットワークフォルダー内の継続的なスパムテンポファイル（拡張子「tmp」）。

これは症状の不完全なリストである可能性があります。 詳細については、コメントに記入してください。

ウイルス破壊

記事のこの部分を開始する前に、ファイルを削除してプロセスを終了するためにあなた自身のリスクでさらにすべてのステップを踏むという事実に注意を喚起したいと思います。 このファイルが疑わしいかどうかわからない場合は、「ctfmon.exe」、「csrss.exe」、「lsass.exe」などのシステムファイルを誤って削除しないように、最初に検索エンジンでその名前を探してください。



私はすでにそのようなウイルスを除去した経験がありますが（友人が少し前にコンピュータに感染させた）、私はYandexに行って人々を破壊する方法を調べました。 いつものように、このウイルスには多くの名前がありました。 最も有名なアンチウイルスがそれを呼ぶものは次のとおりです。

• AVG-Generic_r.TT;
• Ad-Aware-Trojan.Dropper.VIO;
• Agnitum-Trojan.MulDrop！4ElCgmJSsOY;
• アバスト-Win32：Chydo [Drp];
• Comodo-Worm.Win32.AutoRunAgent.TV2;
• DrWeb-Trojan.MulDrop5.14836;
• ESET-NOD32-Win32 / AutoRun.Agent.TV;
• カスペルスキー-Worm.Win32.AutoRun.iea;
• Microsoft-TrojanDropper：Win32 / Pykspa.A ...

記事の最初の部分で指定されているVirusTotalへのリンクをクリックすると、残りの名前を確認できます。 Yandexの検索で1つまたは別の名前を交互に入力し、検索結果を確認しても、このウイルスを取り除くための通常の方法の説明を見つけることができなかったため、この記事を書くことにしました。

ビジネスに取り掛かろう。

まず、タスクマネージャーを開き、プロセス内でこのウイルスのファイルを見つけます。 そのファイルは、完全にランダムな順序で配置された、英語のアルファベットのいくつかの文字で構成される、一致しない名前を持っています。 たとえば、「aekswdk.exe」、「ufqwfvjecot.exe」、「zmbsfvlbtndtaojc.exe」などです。 デフォルトでは、オペレーティングシステムにこのような奇妙な名前のファイルが存在しないことは明らかであり、通常のプログラムがそのようなファイルを作成することはほとんどありません。 このような疑わしいプロセスは2つ、または3つある可能性があります。 彼らは次々と、つまり、1つの完了時に監視します。 2番目が完了すると-最初は電光石火で起動します-など。 したがって、私の前のタスクは、これらの悪意のあるプロセスをすべて同時に完了させることで、それらが互いに開始されず、正常に削除できるようにすることでした。 残念ながら、未知の著者の「Kill​​Proc」ユーティリティがこれを助けてくれました。 あなたはここでそれを取るか、あなたが望むなら、プログラムする能力はあなた自身を書きます。 実行可能ファイルとテキストの2つのファイルのみで構成されています。 各行のテキストには、プロセスの名前が個別に登録されており、起動時の実行可能ファイルは、これらすべてのプロセスをテキストファイルに現れる順序で終了します。 念のため各プロセスを3回指定し、名前をランダムに並べてユーティリティを実行しました。 ユーティリティは非常に高速に動作するため、プロセスはすぐに完了し、お互いを開始する時間はありませんでした。 その後、スタートアップをきれいにする必要があるように思えますが、そこにはありませんでした。 このマルウェアはレジストリの編集を禁止しているため、まず許可する必要があります。 これを行うには、開始に移動して「実行」コマンドを選択するか、Windows + rのキーの組み合わせを押します。ここで「gpedit.msc」と入力してEnterキーを押します。 グループポリシーの編集ウィンドウが表示されています。 そこで、ユーザーの構成、管理用テンプレート、アイテム「システム」を順番に開き、パラメーターのリストでアイテム「レジストリ編集ツールをアクセス不可にする」を見つけます。 マウスの右ボタンを押して[プロパティ]を選択します。その後、ラジオボタンの位置を[無効]に変更し、行った変更を適用します。 次に、レジストリを静かに開き（Windows + rを押し、引用符なしで「regedit」と入力します）、HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Runのパスに沿って移動し、パラメーターのリストで、わかりにくい英語のセットで構成される名前のファイルも検索します手紙。 疑わしいものは削除の対象となります。 自動ロードをクリーンアップした後、システム内の非表示のファイルとフォルダーの表示を復元します。 これを行うには、パスHKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advancedに沿ってレジストリに移動し、リストで「Hidden」パラメーターを探します。 それを右クリックし、「変更」項目をクリックしてユニットを処方します。 次に、別のレジストリパスHKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALLに沿って進み、値も1つずつ変更されるパラメーター「CheckedValue」を見つけます。 レジストリエディタの後、それを自由に閉じて、コントロールパネルとフォルダ設定に移動できます。[表示]タブで、非表示のファイルとフォルダ、および保護されたシステムファイルの表示をマークします。 次に、ファイル「autorun.inf」と「ralyhtfrfvht.bat」、「rcpepdrfvnbpug.bat」などの名前のbatファイルからすべてのディスクのルートを削除します。 （注意：「AUTOEXEC.BAT」を誤って削除しないでください）。 また、おなじみの「実行」ウィンドウに「％tmp％」と入力して開くことができ、起動から削除したパスとプロセスを終了したパスを持つWindowsおよびSystem32フォルダー内のファイルを削除することができます。

使用したソース

• wecrasoft.narod.ru/soft/KillProc.zip-小さくても便利なユーティリティKillProc。
• vindavoz.ru/win_obwee/409-vosstanovit-pokazyvat-skrytye-fayly-i-papki.html-非表示のファイルとフォルダーの表示を復元する方法について。
• roadvictory.ru/blockreestr.html-システム管理者によって禁止されているレジストリ編集を復元する方法について。